HardwaReviews

Kaspersky Lab: dos conocidos grupos de hackers comparten infraestructura para lanzar ataques

Los grupos de hackers BlackEnergy y Sofacy son considerados dos de los principales agentes en el panorama de las amenazas cibernéticas modernas. En el pasado, sus actividades a menudo llevaban a consecuencias devastadoras a nivel nacional. BlackEnergy infligió uno de los ataques cibernéticos más notorios de la historia con sus acciones contra instalaciones energéticas de Ucrania en 2015, lo que provocó varias interrupciones en el suministro de electricidad. Mientras tanto, el grupo Sofacy causó estragos con varios ataques contra organizaciones gubernamentales de Estados Unidos y Europa, además de agencias de seguridad e inteligencia nacional. Anteriormente, se había sospechado que existía una conexión entre los dos grupos, pero no se había comprobado hasta ahora, que se descubrió que GreyEnergy, sucesor de BlackEnergy, utilizaba malware para atacar objetivos de infraestructura industrial y crítica, principalmente en Ucrania, y demostró algunas fuertes similitudes arquitectónicas con BlackEnergy.

El departamento de ciberseguridad industrial (ICS) CERT de Kaspersky Lab, responsable de la investigación y eliminación de amenazas de sistemas industriales, encontró que dos servidores alojados en Ucrania y Suecia fueron utilizados por ambos agentes de amenazas al mismo tiempo en junio de 2018. El grupo GreyEnergy utilizó los servidores en su campaña de phishing para almacenar un archivo malicioso. Este archivo era descargado por los usuarios al abrir un documento de texto incluido en un correo electrónico de phishing. Al mismo tiempo, Sofacy usó los mismos servidores como centro de mando y control para su propio malware. Como ambos grupos utilizaron los servidores durante un tiempo relativamente corto, tal coincidencia sugiere una infraestructura compartida, lo que fue confirmado al observar que ambos agentes de amenazas atacaban a una compañía una semana después de la otra con correos electrónicos de phishing. Además, ambos grupos utilizaron documentos de phishing similares bajo el disfraz de correos electrónicos del Ministerio de Energía de la República de Kazajstán.

“La infraestructura comprometida que comparten estos dos agentes de amenaza potencialmente apunta al hecho de que la pareja no solo tiene el idioma ruso en común, sino que también cooperan entre sí. También proporciona una idea de sus capacidades en conjunto y una mejor imagen de sus posibles objetivos. Estos hallazgos agregan otra pieza importante al conocimiento público de GreyEnergy y Sofacy. Cuanto más sepa la industria sobre sus tácticas, técnicas y procedimientos, mejor trabajo podrán hacer los expertos en seguridad para proteger a los clientes contra ataques avanzados», dijo Maria Garnaeva, investigadora de seguridad de Kaspersky Lab ICS CERT.

Para proteger a las empresas contra los ataques de estos grupos, Kaspersky Lab sugiere a los clientes:

Lea la versión completa del informe CERT de ICS de Kaspersky Lab aquí.

Salir de la versión móvil